Bejelentés dátuma: 2025.03.04.
Gyártó: Carrier
Érintett rendszer(ek):
- Block Load HVAC terhelés-kalkuláló alkalmazás 4.00 és v4.10-től 4.16-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2024-10930)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-01

Bejelentés dátuma: 2025.03.04.
Gyártó: Keysight
Érintett rendszer(ek):
- Ixia Vision termékcsalád 6.3.1-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2025-24494)/súlyos;
- Improper Restriction of XML External Entity Reference (CVE-2025-24521)/közepes;
- Path Traversal (CVE-2025-21095)/közepes;
- Path Traversal (CVE-2025-23416)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02

Bejelentés dátuma: 2025.03.04.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- MACH PS700 v2-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Uncontrolled Search Path Element (CVE-2023-28388)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-03

Bejelentés dátuma: 2025.03.04.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 R15A és korábbi verziói (beleértve az alverziókat is);
- XMC20 R15B verziója;
- XMC20 R16A verziója;
- XMC20 R16B C revíziója (cent2_r16b04_02, co5ne_r16b04_02) és korábbi verziói (beleértve az alverziókat is);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Relative Path Traversal (CVE-2024-2461)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-04

Bejelentés dátuma: 2025.03.04.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- XMC20 R16B-nél korábbi verziói;
- ECST 16.2.1-nél korábbi verziói;
- UNEM R15A-nál korábbi verziói;
- UNEM R15A;
- UNEM R15B PC4 és korábbi verziói;
- UNEM: R16A;
- UNEM: R16B PC2 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Validation of Certificate with Host Mismatch (közepes);
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-05

Bejelentés dátuma: 2025.03.04.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 HMI V2.1.0.10-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2025-22881)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06

Bejelentés dátuma: 2025.03.04.
Gyártó: GMOD
Érintett rendszer(ek):
- Apollo minden, 2.8.0-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Privilege Assignment (CVE-2025-21092)/közepes;
- Relative Path Traversal (CVE-2025-23410)/kritikus;
- Missing Authentication for Critical Function (CVE-2025-24924)/kritikus;
- Generation of Error Message Containing Sensitive Information (CVE-2025-20002)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-07

Bejelentés dátuma: 2025.03.04.
Gyártó: Edimax
Érintett rendszer(ek):
- IC-7100 IP kamerák minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- OS Command Injection (CVE-2025-1316)/kritikus;
Javítás: Nincs információ.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-08

Bejelentés dátuma: 2025.03.06.
Gyártó: Moxa
Érintett rendszer(ek):
- PT-508 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- PT-510 sorozatú eszközök 3.8-as és korábbi firmware-verziói;
- PT-7528 sorozatú eszközök 5.0 és korábbi firmware-verziói;
- PT-7728 sorozatú eszközök 3.9-es és korábbi firmware-verziói;
- PT-7828 sorozatú eszközök 4.0 és korábbi firmware-verziói;
- PT-G503 sorozatú eszközök 5.3-as és korábbi firmware-verziói;
- PT-G510 sorozatú eszközök 6.5-ös és korábbi firmware-verziói;
- PT-G7728 sorozatú eszközök 6.5-ös és korábbi firmware-verziói;
- PT-G7828 sorozatú eszközök 6.5-ös és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Reliance on Security Through Obscurity (CVE-2024-12297)/kritikus;
Javítás: A sérülékenység okozta kockázatok kezelésével kapcsolatban a Moxa support tud részletekkel szolgálni.
Link a publikációhoz: Moxa

Bejelentés dátuma: 2025.03.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- PCU400 6.5 K és korábbi verziói;
- PCU400 9.4.1 és korábbi verziói;
- PCULogger 1.1.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Type Confusion (CVE-2023-0286)/súlyos;
- NULL Pointer Dereference (CVE-2023-0217)/súlyos;
- NULL Pointer Dereference (CVE-2023-0216)/súlyos;
- NULL Pointer Dereference (CVE-2023-0401)/súlyos;
- Use After Free (CVE-2023-0215)/súlyos;
- Double Free (CVE-2022-4450)/súlyos;
- Observable Discrepancy (CVE-2022-4304)/közepes;
- Out-of-bounds Read (CVE-2022-4203)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-01

Bejelentés dátuma: 2025.03.06.
Gyártó: Hitachi Energy
Érintett rendszer(ek):
- Relion 670/650 sorozatú eszközök 2.2.0 verziójának minden revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.1 verziójának minden, 2.2.1.8-nál korábbi revíziója;
- Relion 670 sorozatú eszközök 2.2.2 verziójának minden, 2.2.2.5-nél korábbi revíziója;
- Relion 670 sorozatú eszközök 2.2.3 verziójának minden, 2.2.3.4-nél korábbi revíziója;
- Relion 670/650 sorozatú eszközök 2.2.4 verziójának minden, 2.2.4.3-nál korábbi revíziója;
- Relion 670/650/SAM600-IO sorozatú eszközök 2.2.5 verziójának minden, 2.2.5.1-ig tartó revíziója;
- Relion 670/650 sorozatú eszközök 2.1 verziójának minden, 2.1.0.5-nél korábbi revíziója;
- Relion 670 sorozatú eszközök 2.0 minden, 2.0.0.14-nél korábbi revíziója;
- Relion 650 sorozatú eszközök 1.3 verziójának minden, 1.3.0.8-nál korábbi revíziója;
- Relion 650 sorozatú eszközök 1.2 verziójának minden revíziója;
- Relion 650 sorozatú eszközök 1.1 verziójának minden revíziója;
- Relion 650 sorozatú eszközök 1.0 verziójának minden revíziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Handling of Insufficient Privileges (CVE-2021-35534)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02

Bejelentés dátuma: 2025.03.11.
Gyártó: Optigo Networks
Érintett rendszer(ek):
- Visual BACnet Capture Tool 3.1.2rc1-es verziója;
- Optigo Visual Networks Capture Tool 3.1.2rc11-es verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded (CVE-2025-2079)/súlyos;
- Security-relevant Constants (CVE-2025-2080)/kritikus;
- Authentication Bypass Using an Alternate Path or Channel (CVE-2025-2081)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-02

Bejelentés dátuma: 2025.03.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Schneider Electric Uni-Telway Driver minden verziója;
- Schneider Electric Uni-Telway Driver installed on Control Expert minden verziója;
- Schneider Electric Uni-Telway Driver installed on Process Expert minden verziója;
- Schneider Electric Uni-Telway Driver installed on Process Expert for AVEVA System Platform minden verziója;
- Schneider Electric Uni-Telway Driver installed on OPC Factory Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-10083)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.